보안 에이전트 인증 방법 검토
Microsoft Defender for IoT 서비스는 보안 에이전트에 대한 참조 아키텍처를 제공합니다. 보안 에이전트는 IoT Hub를 통해 보안 데이터를 기록, 처리, 집계 및 제공할 수 있습니다.
보안 에이전트는 리소스가 제한된 IoT 환경에서 작동하도록 설계되었습니다. 또한 보안 에이전트는 사용하는 리소스와 비교할 때 제공하는 가치 측면에서 고도로 사용자 지정할 수 있습니다.
보안 에이전트는 다음과 같은 기능을 지원합니다.
- 기본 운영 체제(Linux, Windows)에서 원시 보안 이벤트를 수집합니다.
- 원시 보안 이벤트를 집계하여 IoT Hub를 통해 전달되는 메시지를 만듭니다.
- 기존 디바이스 ID 또는 전용 모듈 ID를 통해 인증합니다.
- azureiotsecurity 모듈 쌍을 사용하여 원격으로 구성합니다.
IoT Hub의 Microsoft Defender for IoT에 온보딩된 각 디바이스에 보안 모듈이 필요합니다. 디바이스를 인증하기 위해 Microsoft Defender for IoT는 다음 두 가지 방법 중 하나를 사용할 수 있습니다.
- SecurityModule 옵션
- 디바이스 옵션
인증 방법
다음 정보를 사용하여 두 가지 인증 방법 중 선택할 수 있습니다.
- SecurityModule 인증 모드
에이전트는 디바이스 ID와 독립적으로 보안 모듈 ID를 사용하여 인증됩니다. 보안 에이전트가 보안 모듈을 통해 전용 인증 방법을 사용하려면 이 인증 유형을 사용합니다(대칭 키만 해당).
- 디바이스 인증 모드
이 방법에서 보안 에이전트는 먼저 디바이스 ID로 인증합니다. 초기 인증 후 Microsoft Defender for IoT 에이전트는 디바이스의 인증 데이터와 함께 REST API를 사용하여 IoT Hub에 대한 REST 호출을 수행합니다. 그런 다음, Microsoft Defender for IoT 에이전트는 IoT Hub에서 보안 모듈 인증 방법 및 데이터를 요청합니다. 마지막 단계에서 Microsoft Defender for IoT 에이전트는 Microsoft Defender for IoT 모듈에 대해 인증을 수행합니다.
보안 에이전트가 기존 디바이스 인증 방법(자체 서명된 인증서 또는 대칭 키)을 사용하도록 하려면 이 인증 유형을 사용합니다.
인증 방법에 대해 알려진 제한 사항
SecurityModule 인증 모드는 대칭 키 인증만 지원합니다.
CA 서명된 인증서는 Device 인증 모드에서 지원되지 않습니다.
보안 에이전트 설치 매개 변수
보안 에이전트를 배포하는 경우 인증 세부 정보를 인수로 제공해야 합니다. 해당 인수는 다음 표에 문서화되어 있습니다.
Linux 매개 변수 이름
Windows 매개 변수 이름
축약형 매개 변수
설명
Options
authentication-identity
AuthenticationIdentity
aui
인증 ID
SecurityModule 또는 Device
authentication-method
AuthenticationMethod
aum
인증 방법
SymmetricKey 또는 SelfSignedCertificate
file-path
FilePath
f
인증서 또는 대칭 키를 포함하는 파일의 절대 전체 경로입니다.
host-name
HostName
hn
IoT 허브의 FQDN입니다.
예: ContosoIotHub.azure-devices.net
DEVICE_ID
DeviceId
di
Device ID
예: MyDevice1
certificate-location-kind
CertificateLocationKind
cl
인증서 스토리지 위.
Localfile 또는 Store
설치 스크립트를 사용하여 보안 에이전트를 배포하는 경우 구성 파일이 자동으로 생성됩니다.
배포 후 인증 방법 변경
배포 후 인증 방법을 변경하려면 구성 파일을 수동으로 편집해야 합니다.
C# 기반 보안 에이전트
다음 매개 변수를 사용하여 Authentication.config를 편집합니다.
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
C 기반 보안 에이전트
다음 매개 변수를 사용하여 LocalConfiguration.json을 편집합니다.
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}